エージェント ID ブループリントは、エージェント ID を作成し、それらのエージェント ID を使用してトークンを要求するために使用されます。 エージェント ID ブループリントを作成するプロセス中に、そのブループリントの 所有者とスポンサー を設定して、アカウンタビリティと管理関係を確立します。 また、識別子 URI を構成し、エージェントが他のエージェントとユーザーからの受信要求を受信するように設計されている場合は、このブループリントから作成されたエージェントのスコープを定義します。
エージェント ID ブループリントは、次の 2 つの方法で作成できます。
- Microsoft Entra 管理センター — このウィザードを使用して、ブループリントとそのプリンシパルを作成する簡単なセットアップを行います。
- Microsoft Graph APIまたは PowerShell — 単一のワークフローで資格情報、識別子 URI、スコープ、ブループリント プリンシパルを含むブループリントをプログラムで作成し、完全に構成します。
前提条件
エージェント ID ブループリントを作成するには、次のものが必要です。
- 特権ロール管理者ロールは、Microsoft Graphアプリケーションのアクセス許可を付与するために必要な最小限の特権ロールです。
- Cloud アプリケーション管理者またはアプリケーション管理者は、Microsoft Graph に委任されたアクセス許可を付与する必要があります。
-
エージェント ID 開発者ロールとエージェント ID 管理者ロールの両方で、エージェント ID ブループリントとエージェント ID ブループリント プリンシパルを作成できます。
- エージェント ID 開発者 は、エージェント ID ブループリントでフェデレーション ID 資格情報を構成できます。
- エージェント ID 管理者 は、エージェント ID ブループリントでフェデレーション ID 資格情報を構成でき、シークレットまたは証明書の資格情報を追加する必要があります。
- PowerShell を使用する場合は、バージョン 7 が必要です。
注
エージェント ID ブループリントまたはエージェント ID ブループリント プリンシパルの所有者は、Microsoft Entra エージェント IDロールなしで、そのブループリントのエージェント ID を作成できます。 エージェント ID ブループリント作成者は、ブループリントと関連するエージェント ID ブループリント プリンシパルの両方の所有者として自動的に設定されます。
環境を準備する
プロセスを効率化するには、少し時間を取って、適切なアクセス許可に合わせて環境を設定します。
クライアントがエージェント ID ブループリントを作成することを承認する
この記事では、Microsoft Graph PowerShell または別のクライアントを使用して、エージェント ID ブループリントを作成します。 エージェント ID ブループリントを作成して構成し、エージェント ID ブループリント プリンシパルを作成するには、このクライアントを承認する必要があります。 クライアントには、次のMicrosoft Graphアクセス許可が必要です。
- AgentIdentityBlueprint.Create に対する委任されたアクセス許可
- AgentIdentityBlueprint.AddRemoveCreds.All 委任された権限
- AgentIdentityBlueprint.UpdateAuthProperties.All 委任された権限
- AgentIdentityBlueprintPrincipal.Create の委任された許可
このガイドの手順では、委任されたすべてのアクセス許可を使用しますが、必要なシナリオではアプリケーションのアクセス許可を使用できます。
Microsoft Graph PowerShell に必要なすべてのスコープに接続するには、次のコマンドを実行します。
Connect-MgGraph -Scopes "AgentIdentityBlueprint.Create", "AgentIdentityBlueprint.AddRemoveCreds.All", "AgentIdentityBlueprint.UpdateAuthProperties.All", "AgentIdentityBlueprintPrincipal.Create", "User.Read" -TenantId <your-tenant-id>
エージェント ID ブループリントを作成する
エージェント ID ブループリントには、エージェントの責任を負うユーザーまたは サポートされているグループ であるスポンサーが必要です。 所有者が推奨されます。これは、エージェント ID ブループリントに変更を加えることができるユーザーまたはサービス プリンシパルです。 詳細については、「Microsoft Entra エージェント ID の管理関係」を参照してください。
Microsoft Entra 管理センターを使用する
エージェント ID ブループリントは、Microsoft Entra 管理センターで直接作成できます。 管理センター ウィザードでは、エージェント ID ブループリントとそのブループリント プリンシパルの両方が自動的に作成されます。
注
管理センター ウィザードによってブループリント名が設定され、所有者とスポンサーが割り当てられます。 資格情報、識別子 URI、スコープ、またはアクセス許可を構成するには、Microsoft Graph APIまたは PowerShell を使用するか、管理センターのブループリントの詳細ページを使用して作成後に構成します。
Microsoft Entra 管理センターにサインインします。
Entra ID>エージェント>エージェント設計図に移動してください。
新しいエージェント ブループリント (プレビュー)を選択します。
[ 基本 ] タブの [ エージェント ブループリント名 ] フィールドに名前を入力し、[ 次へ] を選択します。
![[基本] タブと [エージェント ブループリント名] フィールドが表示されているエージェント ブループリントの作成ウィザードのスクリーンショット。](media/create-blueprint/create-blueprint-wizard.png)
[ 所有者とスポンサー ] タブで、必要に応じてブループリントの所有者とスポンサーを変更または追加します。
- [ 所有者 ] フィールドの横にある鉛筆アイコンを選択して、ブループリントを管理できるユーザーを変更または追加します。
- ブループリントをスポンサーできるユーザーを変更または追加するには、[スポンサー] フィールドの横にある鉛筆アイコンを選択します。
注
スポンサーには、ユーザー、動的メンバーシップ グループ、またはMicrosoft 365 グループを指定できます。 セキュリティ グループとロール割り当て可能なグループは、スポンサーとしてサポートされていません。
次へを選択します。
設定を確認し、[ 作成] を選択します。
[ 完了] を選択してウィザードを終了するか 、エージェント ブループリントに移動してブループリント の詳細ページを表示するか、その他の設定を構成します。
![[基本] タブと [エージェント ブループリント名] フィールドが表示されているエージェント ブループリントの作成ウィザードのスクリーンショット。](media/create-blueprint/create-blueprint-wizard.png#lightbox)
エージェント ID ブループリントの管理の詳細については、「 エージェント ID ブループリントの管理」を参照してください。
プログラムで作成する
コードを使用してエージェント ID ブループリントを作成するには、Microsoft Graph APIまたは PowerShell を使用します。
この手順では、エージェント ID ブループリントを作成し、所有者とスポンサーを割り当て、次の詳細が必要です。
-
AgentIdentityBlueprint.Createアクセス許可。 - OData-Version ヘッダーは 4.0 に設定する必要があります。
- 要求本文の例の所有者フィールドとスポンサー フィールドのユーザー ID。 スポンサーは必須ですが、所有者は省略可能です。
POST https://graph.microsoft.com/v1.0/applications/
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"@odata.type": "Microsoft.Graph.AgentIdentityBlueprint",
"displayName": "My Agent Identity Blueprint",
"sponsors@odata.bind": [
"https://graph.microsoft.com/v1.0/users/<id>",
],
"owners@odata.bind": [
"https://graph.microsoft.com/v1.0/users/<id>"
],
}
エージェント ID ブループリントを作成した後、次の手順で appId の値を記録します。
エージェント ID ブループリントの資格情報を構成する
エージェントアイデンティティブループリントを使用してアクセス トークンを要求するには、クライアント資格情報を追加する必要があります。 運用環境へのデプロイメントでは、フェデレーテッド ID 資格情報 (FIC) としてマネージド アイデンティティ を使用することをお勧めします。 マネージド ID を使用すると、資格情報を管理することなく、Microsoft Entraトークンを取得できます。 詳細については、「 Azure リソースの管理 ID」を参照してください。
keyCredentialsやpasswordCredentialsなど、他の種類のアプリ資格情報はサポートされていますが、運用環境ではお勧めしません。 これらは、ローカルでの開発とテスト、またはマネージド ID が機能しない場合に便利ですが、これらのオプションはセキュリティのベスト プラクティスと一致しません。 詳細については、「 アプリケーションプロパティのセキュリティのベスト プラクティス」を参照してください。
マネージド ID を使用するには、仮想マシンやAzure App ServiceなどのAzure サービスでコードを実行する必要があることに注意してください。 ローカルでの開発とテストには、 クライアント シークレットまたは証明書を使用します。
この要求を送信するには:
-
AgentIdentityBlueprint.AddRemoveCreds.Allアクセス許可が必要です。 -
<agent-blueprint-id>プレースホルダーをエージェント ID ブループリントのappIdに置き換えます。 -
<managed-identity-principal-id>プレースホルダーをマネージド ID の ID に置き換えます。
次の要求を使用して、資格情報としてマネージド ID を追加します。
POST https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>/federatedIdentityCredentials
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"name": "my-managed-identity",
"issuer": "https://login.microsoftonline.com/<your-tenant-id>/v2.0",
"subject": "<managed-identity-principal-id>",
"audiences": [
"api://AzureADTokenExchange"
]
}
その他のアプリ資格情報
マネージド ID が機能しないシナリオや、テスト用にブループリントをローカルで作成する場合は、次の手順を使用して資格情報を追加します。
この要求を送信するには、まず、委任されたアクセス許可を持つアクセス トークンを取得する必要があります AgentIdentityBlueprint.AddRemoveCreds.All
POST https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>/addPassword
Content-Type: application/json
Authorization: Bearer <token>
{
"passwordCredential": {
"displayName": "My Secret",
"endDateTime": "2026-08-05T23:59:59Z"
}
}
注
テナントには、クライアント シークレットの最大有効期間を制限する資格情報ライフサイクル ポリシーがある場合があります。 資格情報の有効期間に関するエラーが発生した場合は、組織のポリシーに合わせて endDateTime 値を減らします。
必ず、生成された passwordCredential 値を安全に格納してください。 最初の作成後は表示できません。 資格情報としてクライアント証明書を使用することもできます。 証明書資格情報の追加を参照してください。
ブループリントで作成されたエージェントが対話型エージェントをサポートする場合は、エージェントがユーザーの代わりに動作する場合、エージェント フロントエンドがアクセス トークンをエージェント バックエンドに渡すことができるように、ブループリントでスコープを公開する必要があります。 その後、このトークンをエージェント バックエンドが使用して、ユーザーに代わって動作するアクセス トークンを取得できます。
識別子 URI とスコープを構成する
任意の Web API などのユーザーや他のエージェントから受信要求を受信するには、エージェント ID ブループリントの識別子 URI と OAuth スコープを定義する必要があります。
この要求を送信するには:
- アクセス許可
AgentIdentityBlueprint.UpdateAuthProperties.Allが必要です。 -
<agent-blueprint-id>プレースホルダーをエージェント ID ブループリントのappIdに置き換えます。 - グローバルユニーク識別子 (GUID) が必要です。 PowerShell で、
[guid]::NewGuid()を実行するか、オンライン GUID ジェネレーターを使用します。 生成された GUID をコピーし、それを使用して<generate-a-guid>プレースホルダーを置き換えます。
PATCH https://graph.microsoft.com/v1.0/applications/<agent-blueprint-id>
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"identifierUris": ["api://<agent-blueprint-id>"],
"api": {
"oauth2PermissionScopes": [
{
"adminConsentDescription": "Allow the application to access the agent on behalf of the signed-in user.",
"adminConsentDisplayName": "Access agent",
"id": "<generate-a-guid>",
"isEnabled": true,
"type": "User",
"value": "access_agent"
}
]
}
}
呼び出しが成功すると、204 応答が生成されます。
エージェント ブループリントの主要部分を作成する
この手順では、エージェント ID ブループリントのプリンシパルを作成します。 詳細については、「 エージェント ID、サービス プリンシパル、およびアプリケーション」を参照してください。
<agent-blueprint-app-id> プレースホルダーを、前の手順の結果からコピーしたappIdに置き換えます。
POST https://graph.microsoft.com/v1.0/serviceprincipals/microsoft.graph.agentIdentityBlueprintPrincipal
OData-Version: 4.0
Content-Type: application/json
Authorization: Bearer <token>
{
"appId": "<agent-blueprint-app-id>"
}
これで、エージェントブループリントの準備が整い、Microsoft Entra 管理センターに表示されるようになりました。 次の手順では、このブループリントを使用して エージェント ID を作成します。
エージェント ID ブループリントを削除する
エージェントが使用停止になったら、関連付けられているエージェント ID ブループリントを削除します。 ブループリントを削除すると、すべての子エージェント ID とエージェントのユーザー アカウントの自動クリーンアップがトリガーされます。 詳しい削除と復元の手順については、「 エージェント ID オブジェクトの削除と復元」を参照してください。